Embed Size (px)
Citation preview
IT bezpečnost
Michal Čábela
www.pwc.cz/ras
PwC
Co nás čeká
2
Kdo?
Proč?
Jak?
Ochrana?
Co dál?
Kybernetický útok
Téměř každý z nás může provést kybernetický útok.
Motivace k provedení kybernetického útoku jsou různé.
Peníze a zášť hrají hlavní roli.
Provést kybernetický útok je překvapivě jednoduché, stačí trocha hledání na internetu
Většině útoků je možné zabránit
Kybernetická bezpečnost se dynamicky rozvíjí
Case study
Vyhodnocení Case Study
PwC
Kybernetický útok
3
Příklady známých kybernetických útoků:
Stuxnet (2007 / 2008), Irán
Vysoká pec (2014), Německo
Jeep Cherokee (2015), USA
Ropne plosiny (2015), Severní moře
Varná konvice (2015), USA
Banky (stale), CZ
Black-out (2014), Něměcko
Uživatel
?
PwC
Kybernetický útok - statistika
4
Bude lépe? Nebude!
PwC
Kybernetický útok – náklady
5
Kolik má smysl investovat?B
ez
pe
čn
os
t
Vynaložené prostředky
maximální
maximální
zvýšenézákladní
normální
vysoké
velmi vysoké
PwC
Kybernetický útok – novinky
6
Tradiční kybernetické útoky:
• Webové stránky
• Uživatelské počítače
• Servery
• Síťová infrastruktura
Nové vektory kybernetických útoků:
• IoT
• SCADA
• Automatizace, Roboti
PwC
Kdo je útočník
7
Jak si ho všichni představují:
Realita bývá jiná
PwC
Kdo je útočník – kde ho najít
8
Lidé se dají najmout na všechno:
• Tor síť – šedá zóna internetu, internet v internetu.
Nástroje vhodné k útoku jsou “běžně” dostupné
• Malware
• Botnet již od:
• $25 pro 1,000 host,
• $110 pro 5,000 host
• $200 pro 10,000 host.
Naučit se to
• https://www.youtube.com/watch?v=i8kxuci_XC0
PwC
Proč útočí - výdělek
9
“Peníze jsou jenom jedny”
• Ransomware – výkupné za zašifrovaná data
• Prodej Osobních údajů, např. čísla kreditních karet, sociálních pojistek, pasů, občanských průkazů
• Seznam zákazníků společnosti a jiná konkurenční data
• Zdrojové kódy softwaru a know-how
PwC
Proč útočí - nenávist
10
• Konkurenční boj – DoS na webové stránky
• Deziluze ze ztráty zaměstnání – Únik citlivých informací
• Průmyslová špionáž – Únik know-how, změny v datech
• Osobní zájem - cokoliv
• Boj aktivistů – boj proti globalizaci, korporacím, ropným společnostem, atd. – jakékoliv poškození je vítané
PwC
Proč útočí – státní zájem
11
Díky IT je možné špionáž provádět i z postele – zrychlení, zjednodušení a efektivita je obrovská.
Motivace
• Získání strategických informací
• Poškození obrany schopnosti / konkurence schopnosti
Oblasti zájmu
• Jaderný program
• Obrana
• Zásobování zdroji
PwC
Proč útočí – protože to jde
12
Najít návody na YT je jednoduché, proč to nezkusit...
…chci ostatním ukázat co umím.
Motivace
• Prostě to zkusit
• Pochlubit se
Oblasti zájmu
• Lokální společnosti
• Veřejně známé společnosti
• Osobnosti
Důsledky
• U amatérů lehce vystopovatelný zdroj
• Právní důsledky
PwC
Vektory útoku
13
Powershell
Nepatchované systémy
IT procesy
SCADA IoT
Sociální inženýrství
DoS / DDos Ransomware SQL injection XSS
Typické
kybernetické
útoky
1 2 3 45
6
7
8
910
11
12
Lehký úvod do nejznámějších vektorů kybernetického útoku…
PwC
Vektory útoku – Sociální inženýrství
14
Společnost Útočník
Prerekvizity:
• Důvěřiví zaměstnanci
Odhalení:
• Středně obtížné
Riziko:
• Kritické
Dopady:
• Kompletní ztráta kontroly
• Ztráta dat
• Nevratné změny v procesech
Prerekvizity:
• Email, USB flash, telefon
Složitost útoku:
• Střední
Postup:
1. Získat důvěru
2. Dostat svůj kód do společnosti
3. Aktivovat hrozbu a využít vnitřních zranitelností
PwC
Vektory útoku – DoS, DDoS
15
Společnost Útočník
Prerekvizity:
• Zranitelné prostředí
Odhalení:
• Jednoduché
Riziko:
• Vysoké
Dopady:
• Neschopnost komunikovat
• Zahlcení všech služeb
• Konsekvence s návaznými procesy
Prerekvizity:
• Botnet
Složitost útoku:
• Nízká
Postup:
1. Zakoupit botnet
2. Definovat adresu
PwC
Vektory útoku – Ransomware
16
Společnost Útočník
Prerekvizity:
• Zranitelné prostředí
Odhalení:
• Jednoduché
Riziko:
• Kritické
Dopady:
• Finanční ztráta
• Úplná ztráta dat
Prerekvizity:
• Malware schopný kryptovat cizí data
Složitost útoku:
• Vysoká
Postup:
1. Dostat malware do vnitřního prostředí společnosti (soc.ing atd.)
2. Spustit šifrovací mechanismus
3. Oslovit “zákazníka” a nabídnout vrácení dat.
PwC
Vektory útoku – SQL injection / XSS
17
Společnost Útočník
Prerekvizity:
• Zranitelné prostředí
Odhalení:
• Složité
Riziko:
• Kritické
Dopady:
• Úplná ztráta dat (SQLi)
• Modifikace dat (SQLi)
• Krádež identity (XSS)
Prerekvizity:
• Přístup k webové stránce
Složitost útoku:
• Jednoduchá
Postup:
1. Nalezení zranitelného formuláře
2. Použití SQL injection / XSS techniky (VIZ TABULE)
3. Volný pohyb po databázi / získáníidentity
PwC
Vektory útoku – Powershell
18
Společnost Útočník
Prerekvizity:
• Zranitelné prostředí
Odhalení:
• Složité
Riziko:
• Kritické
Dopady:
• Úplná ztráta dat
• Modifikace dat
• Ztráta přístupových oprávnění
• Ztráta kontroly nad prostředím
Prerekvizity:
• Powershell script
• “webserver”
Složitost útoku:
• Složitá
Postup:
1. Spuštění powershell skriptu na napadeném PC
2. Sestavení spojení k “webserveru”
3. Stažení a sestavení kompletního agenta
4. Ovládání agenta a celého počítače přes vzdálený server
PwC
Vektory útoku – Nepatchované systémy
19
Společnost Útočník
Prerekvizity:
• Nepatchované systémy
Odhalení:
• Složité
Riziko:
• Kritické
Dopady:
• Destrukce infrastruktury
Prerekvizity:
• Znalost kritických zranitelností
Složitost útoku:
• Středně složitá
Postup:
1. Odhalení nepatchovaného systému
2. Definice zranitelností verze systému
3. Zneužití těchto známých zranitelností
PwC
Vektory útoku – IT procesy
20
Společnost Útočník
Prerekvizity:
• Nedokonalé IT procesy
Odhalení:
• Složité
Riziko:
• Kritické
Dopady:
• Úplná ztráta dat
• Modifikace dat a procesů
• Ztráta know-how
• Neschopnost fungování společnosti
Prerekvizity:
• Znalost procesů společnosti
Složitost útoku:
• Středně složitá
Postup:
1. Odhalení nefungujících / nesledovanýchprocesů
2. Zneužití interních procesů pro aktivaci jiných hrozeb nebo získání přístupu k informacím.
PwC
Vektory útoku – IoT / SCADA
21
Společnost Útočník
Prerekvizity:
• Organicky rostlé IoT / SCADA
Odhalení:
• Složité
Riziko:
• Kritické
Dopady:
• Neschopnost společnosti využívat IoTtechnologie
• Zastavení všech návazných procesů
• Hmotné i nehmotné ztráty
• Ztráty na životech
Prerekvizity:
• Znalost IoT infrastruktury
Složitost útoku:
• Středně složitá
Postup:
1. Získání přístupu k nezabezpečené IoT / SCADA infrastruktuře
2. By-pass komunikace
3. Podvržení signálů
PwC
Vektory útoku - soutěž
22
Zadání:
Použijte jednu z výše popsaných technologií ke získání přístupu do zabezpečené
sekce stránky hackit.cz
Vyhodnocení:
Na konci přednášky. Ceny pro několik prvních “hackerů”.
PwC
Jak se bránit - technika
23
1. Risk analýza – definice toho, co je opravdu třeba chránit.
2. Penetrační testy – nezávislé, pravidelné a v dostatečném rozsahu
3. Revize FW pravidel
4. Investice do monitoringu – SIEM, IPS, IDS
5. Sledovat aktuální trendy a nejít slepě za efektivním využíváním IT
PwC
Jak se bránit - lidé
24
1. Sociální inženýrství – pravidelné testování připravenosti zaměstnanců
2. Školení – v dostatečném rozsahu a pravidelně
3. Motivace zaměstnanců
4. Správná správa třetích stran
5. Právní zajištění
6. Dostatečný počet správců IT, zajištění role CISO a jeho správné umístění ve
struktuře
PwC
Jak se bránit - procesy
25
1. Řízení přístupových oprávnění
2. Pravidelný audit procesní bezpečnosti a efektivity
3. Detailní sledování administrátorů
4. Nastavení incident managementu
5. Zajištění service desku
6. Definice předpisové základny
7. Simulace kybernetického útoku na procesní úrovni
PwC
Vyhlášení vítězů
26
Gratulujeme!
Řešení je například:
a’ or 1 --
PwC
Budoucnost kybernetické bezpečnosti
27
“Kybernetická bezpečnost je a bude stále důležitější součásti profesního i osobního života.”
“Technologický vývoj přináší mnoho nových možností, ale také otázek bez odpovědí.”
PwC
Vaše budoucnost?
28
“Kvalitní profesionálové v oblasti kybernetické bezpečnosti jsou již nyní nedostatkové zboží a i v budoucnu budou placeni zlatem.”
www.pwctechnology.cz
